Les fournisseurs et les agences contournent activement le correctif de sécurité qu'Adobe a publié en février 2022 pour remédier à CVE-2022-24086, une vulnérabilité critique des modèles de courrier dans les boutiques Adobe Commerce et Magento, avertit la société de sécurité du commerce électronique Sansec.

Le bogue CVE-2022-24086 (score CVSS de 9,8) est décrit comme un bogue de validation incorrecte des entrées dans le processus de paiement. Il peut être exploité pour exécuter un code arbitraire. Une exploitation sauvage a été observée environ une semaine après la mise à disposition des correctifs.

Les premiers correctifs se sont avérés faciles à contourner et Adobe a publié une deuxième série de correctifs et un nouvel identifiant CVE (CVE-2022-24087) pour le bogue quelques jours plus tard. Un exploit de type "proof-of-concept" (PoC) ciblant la faille a été publié à peu près au même moment.

Pour remédier à la vulnérabilité, Adobe a supprimé les modèles de courrier "intelligents" et remplacé l'ancien résolveur de variables des modèles de courrier par un nouveau, afin de prévenir les attaques par injection potentielles.

Cependant, cette mesure a pris de nombreux fournisseurs au dépourvu, et certains d'entre eux "ont dû revenir à la fonctionnalité d'origine". Ce faisant, ils se sont exposés sans le savoir à la vulnérabilité critique, bien qu'ils aient appliqué le dernier correctif de sécurité, explique Sansec.

La société de sécurité a observé que certains fournisseurs tentaient de réintroduire la fonctionnalité du résolveur déprécié dans les magasins Magento de production, soit en remplaçant la fonctionnalité du nouveau résolveur, soit en copiant le code d'anciennes versions de Magento et en l'utilisant comme préférence.

La société a déclaré que certains fournisseurs ont tenté d'atténuer les risques de sécurité en ajoutant aux systèmes de commande un filtrage de base sur les entrées non sûres des utilisateurs, mais cela n'empêche pas l'exploitation, étant donné que la vulnérabilité peut être déclenchée à partir d'autres sous-systèmes également, s'ils touchent à la messagerie.